入侵检测算法三大分类(重要).pdfVIP

入侵检测算法三大分类 （重要 ） 　　入侵检测系统 （IDS ，Intrusion Detection S stem ）就是利用入侵检测技术发现计算机或网络中存在的入侵行为和 被攻击的迹象的软硬件系统。区别于防火墙 ，入侵检测系统是一种主动防御的系统 ，能够更加及时地主动发现非法入侵 并报警和采取应急措施 ，是人们研究的热点领域。 　　当前研究入侵检测系统的核心是对其算法的研究 ，人们的工作也大多集中于此。对于算法研究的 目标是降低入侵检 测系统的误报、漏报率和提升系统的运行效率。由于各种算法都有其局限性的一面 ，而具体的网络使用环境各不相同 ， 这也是阻碍入侵检测系统商业应用的重要障碍 ，寻找一种具有适用性更广泛的算法也是研究工作的重要 内容 ，对当前入 侵检测算法研究现状进行综合考虑是十分必要的。本文从当前入侵检测算法的热点领域入手 ，依据入侵检测系统种类对 当前流行的算法进行分类并详细介绍研究现状。 入侵检测算法分类　　 　　当前入侵检测算法多种多样 ，其中以关联规则、聚类和支持向量机等算法为代表的数据挖掘技术是当前研究的重点 方面 ，另外 ，人工智能算法也在逐渐引起人们的注意。对入侵检测算法进行分类 ，首先考虑入侵检测系统的分类。入侵 检测系统的分类有多种方法 ，如根据审计对象的不同 ，可分为基于网络的IDS、基于主机的IDS和基于网络/主机混合型 IDS ；按照系统的体系结构可以分为集中式和分布式入侵检测系统 ；按照检测技术可分为误用检测和异常检测两类。由于 检测技术实际上指的就是所使用的入侵检测算法 ，所以这里主要考虑按照检测技术分成的误用检测和异常检测的分类方 法。另外随着人们对人工智能算法在入侵检测系统中应用研究的开展 ，这类系统呈现出与前两类不同的一些特性。因此 将当前入侵检测算法归结为误用检测算法、异常检测算法和人工智能算法三类 ，具体情况如图1。图1给出了入侵检测算 法的分类。下面就误用检测、异常检测和人工智能算法三种入侵检测算法分别进行介绍。 　　误用检测算法 　　误用检测的基本原理是将已知的入侵行为和企图进行特征抽取 ，提取共同模式并编写进规则库 ，再将监测到的网络 行为与库进行模式匹配 ，如果特征相同或相似 ，就认为是入侵行为或者企图 ，并触发警报。模式匹配是这类系统所采用 的方法 ，如图1所示。 　　Snort入侵检测系统是一种典型的误用检测系统。它是在 Libcap基础上研发的较为成熟的轻量级入侵检测系统 ，具有 尺寸小、易于安装、便于配置、功能强大、使用灵活等特点。该系统采用的算法是模式匹配 ，因此人们的研究主要是集 中在对模式匹配算法的优化上。例如 ：黄侃 【1】对BM算法进行了优化 ，能够有效节省Snort系统的运算时间 ，提高系统 性能 ，BM算法是Snort入侵检测系统中重要的字符串匹配算法。郝伟臣 【2】给出一种基于哈希算法的匹配算法应用于 Snort系统 ，取得了较好的效果。 　　该方法具有低误报率的优点 ，但是不能检测出规则库中不存在的入侵行为和企图 ，即无法检测未知的攻击。 　　异常检测算法 　　异常检测是通过建立一个主体正常行为的模型 ，将攻击行为作为异常活动从大量的正常活动中检测出来 ，达到对攻 击行为检测的 目的 ，其显著的优点是对未知攻击的检测。 　　数据挖掘是指从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们不知道的但又是潜 在有用的信息和知识的过程。这一点与异常检测所要求的对未知入侵和威胁的检测是相一致的。随着数据挖掘算法的发 展 ，其在入侵检测领域中的应用愈加深入 ，受到人们研究的关注。当前流行的数据挖掘技术是异常检测算法研究的主要 领域 ，如图1所示 ，其中以关联规则、聚类和支持向量机等算法尤其具有代表性。下面就各种有代表性的算法进行介绍。 　　关联规则 　　关联规则算法的 目的是发现隐藏在大型数据集的各不同属性之间的有意义联系 ，发现的联系用关联规则或者频繁相 集来表示。关联规则的基本形式X →Y ，这里X∩Y = ？。支持度 （Support ）和置信度 （Confidence ）是最重要的两个概 念 ，它们的定义 ： 　　Support （X→Y ）=P （X ∪Y ）（1 ）； 　　Confidence （X→Y ）=P （Y │X ）（2 ）。 　　支持度可以确定规则中出现在给定数据集的频繁程度 ，